- •Глава 9 Техническое и юридическое обеспечение режима электронной подписи
- •9.1. Понятие об электронной цифровой подписи
- •Особенности рукописной подписи
- •Особенности электронной цифровой подписи
- •9.2. Техническое обеспечение электронной цифровой подписи
- •Потребность в криптографии
- •Метод и ключ шифрования
- •Симметричные и несимметричные методы шифрования
- •Основы несимметричной криптографии
- •Простейшая структура эцп
- •Понятие о компрометации эцп
- •Понятие о криптостойкости средств эцп
- •Два подхода к оценке криптостойкости алгоритмов
- •Два подхода к оценке криптостойкости ключей
- •Влияние размера ключей на их криптостоикость
- •Понятие о дайджесте сообщения. Электронная печать. Хэш-функция
- •9.3. Организационное обеспечение электронной цифровой подписи
- •Необходимость в сертификации средств эцп
- •Необходимость в сертификации открытых ключей
- •Понятие электронного сертификата
- •Две модели системы сертификации
- •Централизованная система сертификации. Корневые и доверенные центры
- •Сетевая модель сертификации. Взаимная сертификация
- •Пример структуры электронного сертификата
- •9.4. Правовое обеспечение электронной цифровой подписи
- •Становление законодательства об электронной подписи
- •Закон об электронной подписи Германии
- •Закон об электронной подписи сша
- •Проект закона об электронной подписи Российской Федерации
- •Международное признание электронной подписи
- •Практическое занятие
- •Упражнение 9.1. Создание ключей в системе pgp
- •Упражнение 9.2. Передача открытого ключа pgp корреспондентам
- •Упражнение 9.3. Передача защищенных и подписанных сообщений с помощью системы pgp
- •Упражнение 9.4. Шифрование данных на жестком диске при помощи системы pgp
9.3. Организационное обеспечение электронной цифровой подписи
Организационное обеспечение электронной цифровой подписи (ЭЦП) осуществляется в соответствии с законодательством государства, на территории которого используется данное средство ЭЦП. При отсутствии такого законодательства правовое регулирование в области применения средств ЭЦП осуществляется на основе нормативных актов административных органов. В частности, в России до принятия Федерального Закона об электронной подписи действуют положения, содержащиеся в инструкциях Центробанка.
Необходимость в сертификации средств эцп
Средство ЭЦП — это программное и/или аппаратное обеспечение, предназначенное для генерации пары ключей (закрытого и открытого) и автоматизированного их применения при шифровании или дешифровании электронной подписи. Поскольку от алгоритмов, на основе которых действует средство ЭЦП, зависит надежность и устойчивость документооборота, к средствам ЭЦП предъявляются специальные требования. В частности, в России деятельность по разработке средств ЭЦП относится к лицензируемым видам деятельности. Ограничено также использование готовых средств ЭЦП. В государственных и коммерческих организациях разрешается использовать только средства ЭЦП, на которые выдана лицензия в уполномоченных государственных органах.
Необходимость в сертификации открытых ключей
Открытый ключ потому и называется открытым, что он доступен каждому из партнеров владельца закрытого ключа. Если при обращении от партнера Anna к партнеру Bella требуется защищенный канал связи, то партнер Anna может воспользоваться открытым ключом партера Bella. В этом случае он может быть относительно уверен, что в канале связи сообщение не может быть перехвачено. Но остается открытым вопрос, а ведет ли этот «канал» действительно к партнеру Bella?
Есть очень простой прием подмены открытого ключа с целью создания ложного канала связи. Допустим, сторона Charly желает перехватить чужие данные. В этом случае она может с помощью средства ЭЦП создать себе пару ключей и опубликовать открытый ключ якобы от имени партнера Bella. Тогда все сообщения от партнера Anna к партнеру Bella будут легко перехватываться и читаться стороной Charly, причем ни Anna, ни Bella не будут даже догадываться о том, что Charly участвует в «договорных» отношениях.
Мы привели лишь простейшую форму злоупотребления, основанного на том, что, хотя в открытом ключе и приводятся данные об его владельце, в нем нет средств, удостоверяющих, что эти данные подлинные. Без разрешения этого вопроса механизм ЭЦП не может быть использован ни в электронной коммерции, ни в электронном документообороте.
Значительная часть государственных законодательных актов, относящихся к электронной цифровой подписи, электронной коммерции и электронному документообороту, посвящена механизму удостоверения личности владельца открытого ключа. Во всех случаях этот механизм основан на том, что вводится (назначается) дополнительная сторона, удостоверяющая принадлежность открытого ключа конкретному юридическому или физическому лицу.
Кто именно имеет право удостоверять открытые ключи, когда и как, в законодательствах различных государств решается по-разному. В частности, это может быть государственный орган или организация, уполномоченная государством для ведения данной деятельности. Возможно, что для внутреннего документооборота предприятия эту функцию можно поручить лицу, назначенному руководством, а для Документооборота внутри ведомства — уполномоченному подразделению.